Tous les articles par Damien Bancal

Banque, Cybersécurité

Les banques russes mécontentes des nouvelles règles liées au VPN

Les banques russes sont mécontentes des nouvelles règles imposées par le gouvernement de Poutine, selon lesquelles les informations sur les services VPN doivent être transmises par courrier électronique.

Saviez-vous que Poutine se met de plus en plus de monde à dos dans son pays ? Dernier exemple en date, et pas des moindres, les banques russes. Ces dernières sont mécontentes des nouvelles exigences de la Banque centrale de la Fédération de Russie concernant le transfert d’informations sur l’utilisation des services VPN.

Les institutions financières ont une attitude négative envers les nouvelles exigences du régulateur local, l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Pourquoi ? Les informations liées aux VPN utilisés doivent être transmises à Roskomnadzor via un canal non sécurisé par courriel.

Selon les nouvelles exigences, les institutions financières russes sont tenues de fournir à Roskomnadzor des informations sur les services VPN utilisés pour automatiser les processus technologiques d’ici le 2 juin 2023. Ceci est fait dans le but « d’éliminer les risques du fonctionnement des systèmes d’information de l’industrie » écrivent les fonctionnaires.

Envoyer des informations sensibles, par courriel !

Il ne faut pas être une lumière pour comprendre et savoir que la transmission d’informations aussi sensibles par courrier électronique comporte d’énormes risques de fuite de données. Si ces informations tombent entre les mains de cybercriminels, ils disposeront de données sur toutes les adresses IP des services VPN exploités dans des bureaux bancaires, par exemple. De quoi lancée des attaques DDoS contre le siège social d’une banque russe particulière, mais également contre ses succursales. De quoi couper les clients des services bancaires pendant une longue période.

Le Roskomnadzor (en russe : Роскомнадзор) est l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Son nom complet est « Service fédéral de supervision dans le domaine des communications, des technologies de l’information et des médias de masse ». Il a été créé en 2008 et est subordonné au gouvernement russe.

Les principales responsabilités du Roskomnadzor incluent la régulation des médias, la censure de l’internet, la protection des données personnelles, la surveillance des télécommunications et la délivrance de licences pour les activités de médias et de communication. Le Roskomnadzor est également chargé de faire respecter les lois sur la protection des droits des consommateurs et de la concurrence loyale dans le domaine des communications.

Dans le cadre de ses fonctions, le Roskomnadzor a souvent été critiqué pour sa censure d’Internet et la suppression de contenus en ligne. Il a également bloqué l’accès à plusieurs sites web, y compris des plateformes de médias sociaux et des services de messagerie, en raison de préoccupations liées à la sécurité nationale, à la désinformation ou à la violation des lois russes.

APT, backdoor, Cybersécurité

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

Cybersécurité, Microsoft, Mise à jour, Patch

Vulnérabilités : trois 0day à corriger d’urgence

Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.

Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).

Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.

Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.

Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.

CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.

CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .

CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.

Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.

Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

cyberattaque, Cybersécurité

Des entreprises tardent à corriger la vulnérabilité GoAnywhere MFT même après les attaques du rançongiciel Cl0p

Des dizaines d’organisations sont toujours exposées à des cyberattaques via une vulnérabilité largement exploitée dans GoAnywhere MFT, un outil Web qui aide les organisations à transférer des fichiers.

Depuis février 2023, les groupes de rançongiciels Cl0p et Blackcat ont cyber attaqués des dizaines de grandes entreprises et gouvernements du monde via une vulnérabilité zero-day GoAnywhere (CVE-2023-0669).

Les gouvernements de Toronto et de Tasmanie ont été touchés par l’incident aux côtés de géants comme Proctor & Gamble, Virgin et Hitachi comme avait pu vous le révéler le blog dédié à l’actualité de la cybersécurité ZATAZ, à l’époque.

Un correctif pour la vulnérabilité avait été publié en février, ce qui n’a pas empêché Cl0p de compromettre plus de 130 organisations.

Il y a quelques jours, une société de cybersécurité a pris son abonnement chez Shodan est a regardé les machines encore connectées. Plus de 2 mois après la divulgation de ce 0Day, 179 hôtes affichaient encore des panneaux d’administration GoAnywhere MFT ! 30% d’entre eux montraient qu’ils n’étaient pas encore mis à jour.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

Cybersécurité, Entreprise

L’indice mondial de risque cybernétique a connu une amélioration

Pas de quoi faire la fête, mais il semble que les entreprises se préparent mieux aux cyber attaques.

D’après le Cyber Risk Index (CRI) semestriel de Trend Micro, une entreprise de cybersécurité, les organisations sont mieux préparées aux attaques et le niveau de risque cybernétique a baissé de « élevé » à « modéré ». Toutefois, malgré cette amélioration, les organisations continuent de craindre les cyberattaques, 78 % d’entre elles craignant de subir une attaque réussie cette année encore.

Selon Jon Clay, le VP of Threat Intelligence chez Trend Micro, l’indice mondial de risque cybernétique a connu une amélioration de +0,01, ce qui est une première depuis le lancement de l’enquête il y a trois ans, indiquant que les organisations prennent des mesures pour améliorer leur préparation contre les cybermenaces. Cependant, Clay souligne que des efforts supplémentaires sont nécessaires, notamment en ce qui concerne la formation du personnel, qui représente un risque majeur pour les organisations.

Bien que le niveau de menace ait diminué en Europe et dans la zone APAC, il en est autrement en Amérique du Nord et du Sud. En Europe, le score du CRI s’est amélioré de +0,12 au S2 2022, mais malgré cette baisse de la menace, la majorité des organisations européennes restent pessimistes quant à leurs prévisions. En effet, 78 % des participants à l’enquête estiment qu’il est « probable », voire « très probable », qu’ils subissent une cyberattaque réussie cette année. Les cinq principales menaces redoutées par les entreprises sont le détournement de clics, le vol de données de connexion, le rançongiciel, les botnets et la crypto-extraction.

Le personnel est identifié comme le principal risque pour l’infrastructure des entreprises, apparaissant deux fois dans le top cinq des risques. Cette situation n’est pas surprenante selon Trend Micro, car le travail hybride est de plus en plus courant. Les autres risques identifiés par les entreprises sont l’informatique dans le nuage et les fournisseurs, les employés mobiles, les appareils et applications IoT, ainsi que les ordinateurs de bureau et portables.

Hacking

La directive NIS 2, bientôt dans vos écrans

Octobre 2024, les pays membres de l’Union Européenne auront voté leur loi respective se calant sur la Directive NIS 2, la Network and Information Security.

On l’a connait sous le nom de Network and Information Security (NIS) ou encore, dans sa version francophone, la SRI, pour Sécurité des Réseaux et de l’Information. En raison de la transformation digitale en cours, notre monde bénéficie d’une connectivité améliorée et d’une plus grande agilité des entreprises. Cependant, cette dépendance accrue à la technologie digitale expose les entreprises, en particulier dans des secteurs critiques tels que les transports, l’énergie, les soins de santé ou la finance, à des vulnérabilités accrues face aux cybermenaces de plus en plus sophistiquées.

Face à ce défi, le Conseil de l’Union européenne (UE) a adopté la directive NIS2 comme un bouclier contre les cybermenaces, en élargissant son champ d’application et en définissant des mesures de sécurité et des exigences en matière de notification des incidents, applicables dans l’ensemble de l’UE. De plus, elle encourage la coopération entre les États membres pour favoriser le partage d’informations sur les menaces et les bonnes pratiques de sécurité. La directive NIS2 est une nouvelle version de la directive NIS de 2016, et les États membres ont jusqu’au 18 octobre 2024 pour transposer ses exigences réglementaires en droit national.

Renforcer la posture et la résilience des entreprises

Cette initiative fait partie d’un effort plus large de l’UE visant à renforcer la posture et la résilience des entreprises face aux risques cybernétiques. En plus de la directive NIS2, l’UE a également introduit la loi sur la cyber-résilience (CRA), qui s’applique aux produits matériels et logiciels comportant des éléments numériques. Cette loi vise à améliorer la sécurité des produits dès les phases de conception et de développement, puis tout au long de leur cycle de vie, ainsi qu’à créer un cadre de cybersécurité cohérent et à améliorer la transparence des critères de sécurité.

Le Royaume-Uni a également adopté le Telecommunications Security Act (TSA) pour renforcer la sécurité et la résilience des réseaux et services de communications électroniques sur son territoire, témoignant ainsi d’un meilleur alignement des normes de cybersécurité entre le Royaume-Uni et l’UE.

Il est essentiel de se préparer à la mise en œuvre de la directive NIS2 pour garantir un environnement numérique plus sûr et résilient dans l’ensemble de l’UE. Les implications de la directive NIS2 peuvent inclure la nécessité de se conformer aux mesures de sécurité et d’exigences de notification des incidents, ainsi que la participation à la coopération entre les États membres pour le partage d’informations sur les menaces et les bonnes pratiques de sécurité.

Un monde numérique en pleine transformation

L’impact de la directive NIS2 sur le paysage numérique en Europe est significatif. La directive clarifie certaines ambigüités et élargit son champ d’application pour inclure de nouveaux secteurs d’activité tels que les fournisseurs d’infrastructures numériques. Elle divise également les entités en deux catégories : « essentielles » et « importantes ». Selon cette réglementation, toute entité opérant dans un ou plusieurs des secteurs spécifiés, dont l’effectif est supérieur à 50 collaborateurs et qui réalise un chiffre d’affaires supérieur à 10 millions d’euros, relèvera automatiquement de son champ d’application en tant qu’entité essentielle ou importante. On estime que le nombre d’entités qui seront incluses dans le champ d’application de NIS2 pourrait être multiplié par dix par rapport à NIS.

La directive NIS2 introduit également un processus de notification d’incidents de sécurité plus précis. Les entreprises sont tenues de soumettre un rapport d’alerte dans les 24 heures suivant la connaissance d’un incident, suivi d’une évaluation initiale dans les 72 heures et d’un rapport final dans un délai d’un mois.

En outre, la nouvelle directive impose des sanctions financières plus sévères en cas de non-conformité, pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel de l’entreprise, le montant le plus élevé étant retenu.

Bien que les entités essentielles et importantes soient assujetties aux mêmes dispositions, les entreprises classées comme importantes bénéficieront d’une application relativement moins contraignante. La directive NIS2 s’appuie sur les meilleures pratiques de cybersécurité, notamment l’évaluation continue des risques et des vulnérabilités à chaque étape du cycle de vie opérationnel, la maîtrise proactive des risques identifiés grâce à des mesures pertinentes de prévention, de détection et de réponse aux menaces, la définition de procédures efficaces de gestion de crise pour assurer la continuité des activités en cas d’incident, et le partage rapide, ouvert et transparent des informations sur les vulnérabilités et incidents avec les autorités de surveillance nationales et toutes les parties potentiellement impactées, directement ou indirectement.

Renforcer et sécuriser

Les principes clés de NIS2 visent à renforcer la sécurité des réseaux et de l’information. Cette directive adopte une approche inclusive des risques en considérant les menaces potentielles de sources diverses telles que les cambriolages, les incendies, les catastrophes naturelles, les pannes d’électricité, les télécommunications et les cyberattaques. Pour évaluer les risques, les entités doivent dresser l’inventaire de leurs ressources, services et vulnérabilités potentielles. Les politiques de sécurité des systèmes d’information doivent être élaborées en se basant sur des lignes directrices nationales ou supranationales et sur des principes d’évaluation des risques spécifiques à chaque secteur d’activité. L’ENISA est chargée de l’élaboration et de la promotion de ces recommandations.

Les mesures de prévention, de détection et de riposte aux incidents doivent être prises en compte après une évaluation exhaustive des risques. Il est nécessaire d’assurer l’application des mesures de sécurité de base telles que le déploiement de correctifs et de mises à jour de sécurité dans des délais raisonnables, un contrôle des accès et la formation des collaborateurs aux bonnes pratiques de sécurité. Les entreprises peuvent se conformer aux exigences de NIS2 et aux meilleures pratiques stipulées par le NIST en utilisant des solutions de sécurité conformes au framework de cybersécurité (CSF). Il est également recommandé d’utiliser des technologies innovantes, y compris l’intelligence artificielle, pour améliorer la détection et la prévention des cyberattaques.

Enfin, il est important de prévoir un plan détaillé pour une réaction immédiate face à des incidents inévitables. Les entreprises doivent disposer d’une architecture hautement disponible, avec des processus automatisés de failover et des sauvegardes hors site de toutes les données critiques, ainsi que d’une connectivité fiable, sécurisée et efficace entre les sites en utilisant la technologie SD-WAN pour assurer la continuité de leurs activités. La directive NIS2 souligne également l’importance d’un échange d’informations couvrant plusieurs domaines tels que les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes en place, les tactiques, techniques et procédures, les exercices de simulation de gestion de crises, la formation et les processus permettant de renforcer le niveau de confiance.

La sécurité des tiers et de la chaîne d’approvisionnement est cruciale pour garantir la posture de sécurité d’une entreprise, comme l’ont récemment démontré les exploits exploitant la vulnérabilité Log4j. Pour se conformer à la directive NIS2, les entreprises doivent prendre en compte les recommandations formulées lors des discussions sur le Cybersecurity Framework (CSF) 2.0 et adhérer à des normes de sécurité de l’information éprouvées, telles que l’ISO 27001.

Les professionnels qui utilisent le cadre de CSF 2.0 soulignent l’importance de différencier les chaînes d’approvisionnement selon le type de fournisseur (éditeurs de logiciels, constructeurs, etc.). Cette approche permet d’adapter les mesures de sécurité à chaque profil, notamment face à la prolifération d’appareils IoT, de processus basés sur des logiciels (SaaS, bibliothèques open source, etc.) et d’éditeurs fournissant des logiciels grand public (applications, sites Web, etc.).

Les phases du cycle de vie du système d’information

La sécurité des réseaux et des systèmes d’information doit être prise en compte à toutes les phases du cycle de vie du système d’information, de l’achat à la maintenance. La directive NIS2 insiste sur l’identification, le traitement et la divulgation en temps opportun des vulnérabilités, conformément aux normes internationales telles que l’annexe A.14 de la norme ISO 27001, ISO/IEC 30111 et ISO/IEC 29147. L’utilisation d’un framework tel que le CSF du NIST permet d’améliorer les pratiques de sécurité et de garantir une approche globale et résiliente.

L’intégration d’une plateforme de sécurité avec le système de gestion de la sécurité des informations est essentielle pour simplifier et automatiser les processus de sécurité. Cette intégration permet aux entreprises d’avoir une gestion cohérente et intégrale des risques liés à la sécurité de l’information.

La directive NIS2 exige une évaluation régulière des mesures de gestion des risques de cybersécurité. L’utilisation d’un cadre comme PolicyOps permet de simplifier ce processus d’évaluation et de gestion des politiques et procédures de sécurité de l’entreprise. PolicyOps automatise l’évaluation des politiques de sécurité, permet un suivi de la conformité et assure que la gestion des risques est conforme aux normes de sécurité en vigueur, y compris la directive NIS2.

La directive encourage également l’application pleine et entière des principes de protection des données et de la vie privée, tels que l’utilisation de pseudonymes et le chiffrement, pour sécuriser les données à caractère personnel. Pour certains fournisseurs, l’utilisation d’un chiffrement de bout en bout peut être obligatoire.

Cybersécurité, IOT

Espionnage via Bluetooth

Google et Apple travaillent ensemble pour protéger les personnes de la surveillance via des appareils Bluetooth.

Depuis plusieurs années maintenant, divers trackers Bluetooth comme l’Apple AirTag suscitent de nombreuses polémiques sur les abus. Aujourd’hui, Google et Apple ont décidé de s’associer pour développer une spécification qui rendra plus difficile l’espionnage des appareils exploitant le Bluetooth.

Les deux géants de la technologie ont déclaré qu’ils étaient disposés à prendre en compte les points de vue d’autres organisations dans le domaine. L’intérêt de ce projet a été exprimé par des sociétés telles que Samsung, Tile, Chipolo, eufy Security et Pebblebee.

Apple et Google ont soumis un projet de spécification via l’Internet Engineering Task Force (IETF). Toutes les parties intéressées peuvent examiner et commenter l’initiative dans un délai de trois mois.

Après cette période, Apple et Google devraient fournir des commentaires et publier la première implémentation de la spécification (vraisemblablement d’ici la fin de l’année 2023), qui sera prise en charge dans les futures versions des systèmes d’exploitation mobiles iOS et Android.

Rappelons que les balises intelligentes Apple AirTag ont longtemps montré du doigt. Par exemple, au début de l’année 2022, des avertissements ont été émis concernant les Apple AirTags modifiés qui présentent un risque pour la confidentialité.

Et fin 2022, deux Américaines ont poursuivi Apple pour surveillance via AirTag. Elles affirmaient que le matériel permettait de traquer et de terroriser des cibles. Les victimes ont exigé une compensation et une action décisive de la part d’Apple en termes de sécurité. « L’ex-petit ami de l’une des victimes a attaché un AirTag au passage de roue de sa voiture et a découvert où elle se cachait. Et l’ex-mari de l’autre requérante la suivit, cachant l’étiquette dans le sac à dos des enfants.« 

Des balises intelligentes Apple AirTag transformées en espionnes

L’AirTag, un appareil utile lorsque vous devez retrouver un bien perdu (clé, Etc), mais aussi un traqueur dangereux. Des balises Apple AirTag modifiées qui pourraient constituer une menace pour la vie privée des utilisateurs.

Il existe de nombreuses façons de modifier le tracker d’Apple : éteindre le haut-parleur, mettre le tag dans une coque différente, etc. Certains de ces AirTags modifiés ressemblent exactement à l’original, tandis que d’autres ne ressemblent même pas de loin à un appareil standard.

Si le tag n’émet aucun son, les utilisateurs d’appareils mobiles Android ne pourront pas détecter un tel tracker. Même les propriétaires d’iPhone peuvent avoir du mal à trouver un AirTag modifié. Les experts estimaient il y a peu qu’Apple devrait faire un peu plus pour protéger les utilisateurs contre l’utilisation abusive des balises intelligentes. Par exemple, Cupertino devrait travailler avec Google sur des méthodes de suivi plus sécurisées pour iOS et Android. De plus, cela ne ferait pas de mal de rendre les trackers plus difficiles à modifier et de permettre aux propriétaires d’appareils mobiles de signaler les AirTags qui sont mal utilisés. Rappelons qu’en septembre 2021, un bug avait été découvert dans les balises intelligentes d’Apple permettant de les transformer en cheval de Troie physique.

Apple a également publié une application pour les utilisateurs d’Android qui vous permet de scanner AirTag à proximité.

Lors de la sortie des balises au printemps 2021, Apple parlait d’une « protection contre les harceleurs » intégrée au tracker. Une notification sonore qui informent les utilisateurs d’iPhone et de MacBook si un AirTag inconnu « se bloque » pendant une longue période dans la portée Bluetooth, environ 9 mètres.

Cybersécurité, Justice

UFC Que Choisir contre Twitter: la victoire historique des consommateurs !

UFC Que Choisir vient de remporter une grande victoire contre le géant des réseaux sociaux, Twitter Inc. La Cour d’appel de Paris a confirmé une décision antérieure qui a établi que 24 clauses des conditions d’utilisation de Twitter étaient illicites.

24 clauses des conditions d’utilisation, 29 clauses de la politique de confidentialité et 7 clauses de son règlement sont illégales. Twitter vient de découvrir la décision de la Cour d’appel de Parus concernant une série de plainte à l’encontre du réseau sociaux au petit oiseau bleu. Bilan, cette décision a des implications importantes pour les droits des internautes sur les réseaux sociaux.

La Cour a d’abord considéré que les règles du droit de la consommation s’appliquent aux conditions d’utilisation de Twitter, malgré le caractère apparemment gratuit du service. La Cour a souligné que la fourniture de données de l’utilisateur est la contrepartie du service rendu et que, par conséquent, le contrat a un caractère onéreux. Cette décision renforce la célèbre formule « Si c’est gratuit, c’est toi le produit !« .

Consentement des utilisateurs

En outre, la Cour a rejeté deux clauses importantes relatives au consentement des utilisateurs, qui ont été jugées non écrites. Ces clauses ont été rejetées car elles n’étaient pas clairement exposées au moment de la souscription du contrat.

« Chacun saura désormais que les clauses qui ne figurent pas dans l’écrit que le consommateur accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence ne sont pas valables. » souligne Alexandre Lazarègue, Avocat spécialisé en droit du numérique.

La Cour a également sanctionné les clauses qui permettaient à Twitter de modifier les services et les conditions générales de manière unilatérale. Cela a des implications importantes pour les utilisateurs, car cela signifie que Twitter ne peut pas changer les termes du contrat sans l’accord explicite de l’utilisateur, quitte à en boquer son évolution.

Il paraissait pourtant légitime que, si une partie ne doit pas pouvoir modifier unilatéralement l’esprit général d’un contrat, elle puisse faire évoluer celui-ci sans qu’un consommateur puisse, à lui seul, bloquer toute évolution.

Utilisation du service et les contenus publiés

En outre, plusieurs clauses du contrat prévoyaient que l’utilisation du service et les contenus publiés se trouvaient sous la responsabilité de l’utilisateur. Le tribunal a considéré que ces clauses étaient illicites. « S’il est logique que Twitter assure la sécurité des données qu’elle collecte, et qu’elle endosse la responsabilité d’un éventuel piratage, il n’apparaissait pas abusif que l’auteur d’un contenu en soit responsable et que twitter en tant que simple hébergeur en soit déchargé. » explique Alexandre Lazarègue.

Enfin, la Cour a également souligné que la suppression d’un compte Twitter pour violation de de son règlement éthique doit faire l’objet d’un débat contradictoire et de mises en garde préalables. Les utilisateurs de Twitter, y compris tels que Donald Trump et les influenceurs sur le grill, devront désormais savoir précisément sur quel fondement leur compte est supprimé et avoir la possibilité de contester cette décision à l’amiable.

En somme, cette décision est une grande victoire pour les consommateurs et les internautes, car elle renforce leurs droits et leurs protections sur les réseaux sociaux. Elle rappelle également aux grandes entreprises que leurs pratiques commerciales doivent être transparentes et justes envers les utilisateurs.

Banque, Cybersécurité

Visa, les pirates et ma CB

Visa a annoncé la suspension d’une expérience de trois ans au cours de laquelle les résidents de l’Inde pouvaient régler des achats en ligne en un seul clic, sans fournir de code CVV, ni de mot de passe à usage unique.

Voilà une expérience qui semble avoir coûté quelques millions de dollars à Visa, le fournisseur de cartes bancaires éponymes. La publication locale India Times suggère que cette décision est due aussi à la position sévère de la banque centrale du pays, qui prévoit de renforcer les règles relatives aux paiements numériques.

Il faut dire aussi que permettre de payer par carte bancaire sur Internet, sans fournir la moindre authentification semble être dès plus dangereux en cas de perte, de vol ou de piratage de la carte bancaire. « Visa travaille sur une forme améliorée de produit d’authentification de réseau conformément aux recommandations de la Banque de réserve de l’Inde », a déclaré Visa dans un communiqué. Les titulaires de cartes Visa peuvent continuer à les utiliser avec une authentification supplémentaire pour garantir la sécurité des paiements. »

Le programme Visa Single Click a été lancé en Inde en 2019. À l’époque, la limite de paiement sans authentification supplémentaire était de deux mille roupies (22€), puis a été portée à cinq mille (55€). Les principaux géants des télécommunications, ainsi que des détaillants, des services de livraison et d’autres grandes entreprises ont adhéré à cette option. Dans le même temps, le service a été très populaire en Inde, avec 250 000 personnes s’inscrivant dans les 45 premiers jours suivant son lancement.

Toutefois, selon les représentants de la Banque centrale, seule une procédure de débit impliquant du plastique physique peut être considérée comme sûre. Dans ce cas, il est acceptable d’abaisser le seuil de sécurité. Les paiements numériques, en revanche, suscitent de vives inquiétudes au sein de la principale institution financière du pays, qui exige donc le maintien de l’authentification à deux facteurs.

Visa surveille les cardeurs

Pendant ce temps, il faut savoir que Visa disposerait d’un service de renseignement distinct qui recueille des données sur les actions et les tactiques des fraudeurs, notamment sur les marchés noirs du web. C’est ce qu’a révélé Michael Jabbara, responsable de la lutte contre la fraude chez Visa en tant que vice-président, dans une interview accordée à Benzinga. « L’entreprise a mis en place plusieurs couches de sécurité, érigées pour protéger tout élément et tout membre de notre écosystème. explique le spécialiste de chez Visa. Cela dit, nous savons qu’il n’existe pas de stratégie unique qui permette de protéger les utilisateurs contre les fraudeurs et les cardeurs, qui sont très ingénieux et persistants. Nous avons donc plusieurs tactiques défensives, dont l’une est l’analyse des sites fantômes« .

Il explique que Visa surveille de près l’évolution des différentes familles de logiciels malveillants et de ransomwares, les personnes qui les utilisent et la manière dont ils sont introduits dans des organisations spécifiques du secteur financier. « Nous examinons les types de données vendues sur le darknet, les données personnelles, les numéros de carte, et nous suivons les grandes tendances. »

Parmi les enquêtes et questions, le Service Veille ZATAZ expliquait que les recherches pouvaient se tourner sur de nombreuses questions comme « Y a-t-il une banque en particulier qui devient soudainement le leader du nombre de cartes vendues sur le darknet ? » ;  « Pourquoi cela se produit-il ?« .

Il a ajouté que le service de renseignement enquêtait sur toute fuite de données sérieuse survenant dans le monde entier. Des spécialistes analysent des échantillons de code utilisés dans ces attaques, les intègrent dans leur bibliothèque et les analysent ensuite. Visa se concentre également sur des familles de logiciels malveillants spécifiques ciblant les vendeurs et les bourses de crypto-monnaies.

Marketing de la malveillance

« Il y a un niveau de sophistication assez large en termes de personnes » explique le chercheur. Vous avez des gens qui sont les stéréotypes du petit pirate de 16 ans, dans le sous-sol de leurs parents. Ils sont capables d’acheter un script sur le dark web et de générer toute une série d’attaques par force brute qui aura pour mission de deviner le numéro de carte, la date d’expiration et le CVV2 en générant des centaines de milliers de transactions de test en quelques minutes.

« Ensuite, les groupes de criminels« . Ils sont organisés. Ils profitent de rançongiciels, de logiciels malveillants, d’attaques et de défaillances. « Certains ont été arrêtés il n’y a pas si longtemps après que les enquêteurs sur la fraude Visa les ont retrouvés.« 

Vient enfin les organisations soutenues par un État « Ils sont bien financés et bien organisés. Ils mènent des attaques à grande échelle contre des institutions financières. Vous pouvez penser au piratage Swift qui s’est produit il y a plusieurs années avec la banque centrale du Bangladesh, par exemple« .

Piratage de SWIFT : l’attaque qui a permis de détourner 81 millions de dollars

Le piratage de SWIFT est une attaque informatique qui a eu lieu en février 2016. SWIFT, pour Society for Worldwide Interbank Financial Telecommunication, est un réseau utilisé par les banques du monde entier pour transférer des fonds entre elles.

Le piratage a commencé lorsque des cybercriminels ont réussi à pénétrer dans le système de sécurité d’une banque bangladaise, la Banque du Bangladesh. Les pirates ont ensuite utilisé cette brèche pour accéder au système SWIFT de la banque, leur permettant de transférer de l’argent vers des comptes bancaires appartenant à des complices dans le monde entier.

Les pirates ont réussi à transférer près de 81 millions de dollars de la Banque du Bangladesh vers des comptes bancaires aux Philippines, à Hong Kong et au Sri Lanka. Les transactions ont été approuvées par la Banque centrale des Philippines, mais certaines d’entre elles ont été bloquées par d’autres banques, qui ont été alertées par des erreurs de frappe dans les ordres de transfert.

L’enquête sur l’attaque a révélé que les pirates avaient utilisé des logiciels malveillants pour accéder au système SWIFT et masquer leurs traces. Les pirates ont également utilisé des techniques de phishing pour obtenir les identifiants et mots de passe nécessaires pour accéder au système.

Après l’attaque, SWIFT a émis des avertissements à l’ensemble de ses membres, les exhortant à renforcer leur sécurité et à mettre en place des mesures de sécurité supplémentaires pour prévenir de telles attaques à l’avenir. Les enquêteurs ont également découvert que d’autres banques avaient été ciblées par des attaques similaires, mais que leurs défenses informatiques avaient empêché les pirates d’accéder à leur système SWIFT.

L’attaque contre la Banque du Bangladesh a mis en évidence les vulnérabilités du système SWIFT et la nécessité pour les banques d’investir dans des systèmes de sécurité plus avancés pour protéger leurs actifs et leurs clients.

Banque, Cybersécurité

350 000 comptes en banque de chômeurs gelés suite à une fraude informatique

Des chômeurs de l’État de Californie, dont les allocations ont été volées à la suite de fraudes informatiques poursuivent Bank of America.

Selon le portail CourtHouse News, l’action en justice découle du fait que l’institution financière n’a pas protégé les cartes de débit à partir desquelles les allocations ont été volées.

Bank of America avait conclu un contrat exclusif avec le département californien de la promotion de l’emploi pour le paiement des prestations par carte de débit. Or, pendant plusieurs mois, de nombreux bénéficiaires ont constaté que leur compte était soudainement débité sans avertissement. La banque a ainsi été contrainte de geler 350 000 comptes liés au programme d’aide aux chômeurs américains en novembre dernier. Seuls 8 % d’entre eux ont finalement repris vie.

L’action en justice reproche à Bank of America de ne pas s’être conformée aux normes de sécurité du secteur et d’avoir émis des cartes de débit à bande magnétique, obsolètes et facilement accessibles aux fraudeurs, au lieu de puces de sécurité. Par ailleurs, les chômeurs qui ont perdu leurs fonds se sont plaints du peu d’intérêt manifesté par le personnel de la banque pour enquêter sur la perte. Dans certains cas, ils ont été ignorés pendant un mois, passant d’un service à l’autre et refusant d’être reçus personnellement.

Cela va directement à l’encontre des accords que Bank of America a conclus avec l’État de Californie, qui stipulent que toute demande de fonds perdus doit être résolue dans les dix jours et que les Américains qui ont perdu des prestations en raison d’une fraude n’en sont pas responsables.

L’essentiel de la réclamation consiste à exiger l’émission de cartes avec des puces de sécurité et le recouvrement intégral de tous les fonds volés par les fraudeurs. La banque elle-même n’a pour l’instant publié qu’une longue déclaration indiquant que les fraudeurs ont réussi à voler des milliards de dollars appartenant aux Californiens et qu’elle travaille en étroite collaboration avec le gouvernement de l’État pour résoudre le problème. (CN)

Cybersécurité, double authentification

Google Authenticator prend en charge la sauvegarde

L’application d’authentification à deux facteurs Google Authenticator synchronise désormais les codes à usage unique 2FA qu’elle génère avec les comptes d’utilisateurs Google.

Auparavant, les codes à usage unique Authenticator étaient stockés localement sur un seul appareil, et leur perte pouvait empêcher de se connecter à n’importe quel service configuré avec Authenticator.

Pour bénéficier de la nouvelle fonctionnalité de synchronisation, vous devez mettre à jour votre application. Lorsque vous vous connectez à votre compte Google sur Google Authenticator, les codes sont automatiquement enregistrés et restaurés sur tout nouvel appareil. Ils peuvent également être transférés manuellement vers un autre appareil. Comment vous allez vous en rendre compte ? D’abord le logo d’authenticator a changé.

Ensuite, un petit nuage rouge et une virgule apparaissent dans l’application, à côté de votre compte Google.

Le géant américain affirme que cette mesure ne compromet pas la sécurité. « Nous avons lancé Google Authenticator en 2010 comme moyen gratuit et facile pour les sites d’ajouter des 2FA (Double authentification, ce qui améliore la sécurité de l’utilisateur lors de la connexion. Dans cette mise à jour, nous apportons une solution à ce problème, en rendant les codes à usage unique plus sûrs en les stockant en toute sécurité dans les comptes des utilisateurs de Google« .

L’application Authenticator était à l’origine un projet open-source, mais le code a été fermé par la suite, et les forks open-source officielles des applications Android, iOS et BlackBerry n’ont pas été mises à jour depuis des années. Il existe des alternatives à Authenticator, comme Authy et Duo.

En 2022, Google a annoncé l’introduction d’un support de connexion sans mot de passe avec Passkeys pour Android et Chrome. Les développeurs Android pourront mettre en œuvre la prise en charge de l’accès sans mot de passe à l’aide de l’API WebAuthn et la tester dans le navigateur Chrome Canary ou dans le programme bêta Google Play Sequence.

Bitcoin, Cybersécurité

Loi anti-blanchiment via les crypto-monnaies

Un projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies est retardé en raison d’un manque de soutien.

Le projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies, qui avait été initié par les sénateurs Elizabeth Warren et Roger Marshall, subit un retard en raison d’un manque de soutien. Cette loi, présentée pour la première fois en décembre, vise à imposer la procédure KYC à l’industrie de la cryptographie, ce qui affecterait les fournisseurs de portefeuilles hors ligne, les mineurs, les validateurs et les autres participants indépendants au réseau.

Bien qu’une version révisée du projet de loi ait été promise en février, elle n’a pas encore été rendue publique, et la date de présentation de la mise à jour n’a pas été annoncée. Les législateurs auront ainsi plus de temps pour évaluer l’impact potentiel de cette loi sur l’industrie. Alors que certains passionnés de crypto-monnaie critiquent la proposition de Warren, la qualifiant de dure et entravant le développement de l’industrie, ses partisans affirment qu’elle fournira des règles claires pour protéger les consommateurs et empêcher les activités illégales utilisant des crypto-monnaies.

Armée anti-crypto-monnaie !

En mars, Elizabeth Warren avait appelé à la création d’une « coalition anti-crypto-monnaie » pour protéger la sécurité des investisseurs, mais cette initiative a été critiquée pour restreindre la liberté économique.

Pendant ce temps, un chercheur aurait trouvé des portefeuilles de bitcoins appartenant aux services de sécurité russes. Ce passionné de bitcoins non identifié a étudié la blockchain bitcoin et a découvert des centaines de portefeuilles qui, selon lui, appartiennent aux services secrets russes.

Le chercheur a utilisé la fonction de documentation des transactions de la blockchain bitcoin pour identifier 986 portefeuilles contrôlés par la Direction du renseignement militaire extérieur (GRU), le Service de renseignement extérieur (SVR) et le Service fédéral de sécurité (FSB). Dans des rapports rédigés en russe, il indique que ces portefeuilles sont impliqués dans des cyberattaques !

Ce que l’on sait, c’est que le dénonciateur a pris le contrôle d’au moins quelques portefeuilles BTC qui, selon lui, appartiennent aux services secrets russes, peut-être par le biais d’un piratage ou (si l’on en croit le dénonciateur) par l’intermédiaire de sources internes. À l’appui de l’enquête du mystérieux internaute, les analystes de Chainalysis signalent qu’au moins trois des portefeuilles cités ont déjà été liés à la Russie.

Deux d’entre eux auraient été impliqués dans l’attaque Solarwinds, tandis que le troisième a payé pour des serveurs utilisés dans une campagne de désinformation pour les élections de la Douma d’État russe de 2016.

A noter aucune information sur ce « sujet » sur le portail de Chainalysis. Le communiqué de presse relatant cette histoire aurait été envoyé à Coindesk !

Cybersécurité, double authentification

Un système pour craquer les mots de passe à base de RTX 4090

Mettez vingt-quatre cartes graphiques RTX 4090 en parallèle et regardez le matériel cracker les mots de passe plus vite que la lumière !

L’ancien pirate informatique, Kevin Mitnick (Alias le Condor) est aujourd’hui un spécialiste de la sécurité informatique. Il travaille pour la société KnowBe4. Dernièrement, sur Twitter, Mitnick a affiché à quoi ressemble sa nouvelle plate-forme de craquage de mots de passe.

L’ancien hacker, qui a passé environ cinq ans en prison dans les années 90, est depuis longtemps un spécialiste de la sécurité de l’information, un consultant et un conférencier recherché.

Le directeur exécutif de Mitnick Security Consulting explique que cette machine se compose de quatre serveurs, le tout pris en charge par vingt-quatre cartes graphiques RTX 4090 basées sur Ada Lovelace et six autres RTX 2080 basées sur Turing. L’histoire ne dit pas combien de temps et d’énergie vont devoir être exploités pour craquer des mots de passe, hashés par exemple, en sha256.

A noter qu’utiliser des RTX 4090 dans un centre de données serait une violation du contrat de licence du pilote de NVidia. Nvidia a interdit, en 2018, l’utilisation de ses cartes graphiques GeForce et Titan dans les centres de données, obligeant les organisations à débourser pour des équipements plus chers, comme ses puces Tesla V100.

Cybersécurité

Contrôler ChatGPT avant qu’il ne vous contrôle !

OpenAI, créateur de chatGPT, a annoncé qu’il sera désormais possible de ne pas conserver les entretiens et de ne pas les utiliser comme données de formation. On vous montre ce que sait l’IA sur vous et comment détruire vos informations personnelles.

Cependant, même si cela ne sera pas tout à fait anonyme, la CTO Mira Murati a déclaré à l’agence Reuters que l’entreprise donnera une plus grande priorité au respect de la vie privée. La rapide percée de l’outil ChatGPT a suscité des inquiétudes en Italie concernant le traitement des données par l’entreprise américaine. En réponse, OpenAI a déclaré qu’elle travaille en collaboration avec les régulateurs européens.

À partir de cette semaine, il sera possible de désactiver les paramètres « historique des discussions et formation » de ChatGPT. Cela signifie que l’outil ne conservera pas les déclarations antérieures et ne les utilisera pas à des fins de formation. Toutefois, les conversations ne seront pas tout à fait anonymes car elles seront conservées pendant 30 jours pour des contrôles d’abus avant d’être totalement supprimées.

Contrôler et effacer ses datas ChatGPT

Les Data Controls sont des paramètres de ChatGPT qui permettent aux utilisateurs de désactiver l’historique des conversations et de choisir si leurs conversations seront utilisées pour l’entraînement des modèles. Les utilisateurs peuvent également exporter leurs données ChatGPT et supprimer leur compte de manière permanente. Pour désactiver l’historique des conversations et l’entraînement des modèles, les utilisateurs doivent accéder à ChatGPT > Data Controls comme DataSecurityBreach.fr vous le montre ci-dessous. Les conversations récentes ne seront pas utilisées pour améliorer les modèles et n’apparaîtront pas dans l’historique des conversations, mais seront conservées pendant 30 jours pour des contrôles d’abus avant d’être supprimées.

Il est important de noter que cela n’empêchera pas les add-ons non autorisés ou les logiciels malveillants sur votre ordinateur de stocker votre historique. Les utilisateurs peuvent également exporter leurs conversations en accédant à Paramètres > Data Controls > Exporter données et peuvent supprimer leur compte en accédant à Paramètres > Data Controls > Supprimer compte. Si l’utilisateur choisit de supprimer son compte, comme Datasecuritybreach.fr vous le montre ci-dessous, cela est irréversible et toutes les données associées à ce compte seront également supprimées.

OpenAI utilise les données personnelles des utilisateurs pour améliorer ses modèles de langage naturel en les entraînant sur un corpus de texte large, qui comprend du contenu disponible publiquement, sous licence et généré par des examinateurs humains. OpenAI n’utilise pas les données à des fins publicitaires ou pour créer des profils de personnes, mais uniquement pour améliorer ses modèles.

Si l’historique est désactivé, les nouvelles conversations seront supprimées dans les 30 jours et ne seront pas utilisées pour l’entraînement des modèles, mais les conversations existantes seront toujours sauvegardées et pourront être utilisées pour l’entraînement des modèles si l’utilisateur ne choisit pas de les exclure. Si l’historique est désactivé, les conversations ne seront pas récupérables une fois qu’elles sont fermées.

Il n’y a pas de limite au nombre de conversations que les utilisateurs peuvent avoir avec l’historique et l’entraînement désactivés, et cela s’applique aux abonnements gratuits et Plus. OpenAI honorera également les demandes précédentes d’exclusion de l’entraînement des modèles.

OpenAI travaille sur une nouvelle offre appelée ChatGPT Business, qui permettra aux professionnels de désactiver l’entraînement des modèles par défaut. En attendant, les utilisateurs peuvent remplir un formulaire pour demander l’exclusion de leurs données de l’entraînement des modèles. OpenAI prévoit de lancer ChatGPT Business dans les mois à venir pour les entreprises qui souhaitent gérer leurs utilisateurs finaux.

Dernier point que DataSecurityBreach.fr souhaite mettre en avant. Prudence aux courriels qui pourraient usurper ChatGPT. Le courrier électronique ressemble à la capture écran ci-dessous, provient de l’adresse tm.openai.com et OpenAI n’envoie aucune archive sans votre demande explicite. Cela vous éviter de fournir vos identifiants de connexions dans un phishing bien ficelé et ciblé !

Entreprise

Législations sur les marchés numériques (DMA) et services numériques (DSA) arrivent en Europe

La réglementation appelée Digital Services Act (DSA) a été mise en place pour réguler les activités en ligne, en particulier pour les grandes entreprises. La Commission européenne a sélectionné dix-neuf entreprises avec un minimum de 45 millions d’utilisateurs actifs par mois, incluant dix-sept grandes plateformes en ligne, dont TikTok et deux moteurs de recherche, Bing et Google Search.

La DSA aura un impact sur de nombreuses entreprises telles que Amazon, Apple, Google, TikTok, Twitter et Wikipedia, ainsi que AliExpress, Booking.com, Facebook, Instagram, LinkedIn, Pinterest, Snapchat, YouTube et Zalando. Les services tels que Google Play, Google Maps et Google Shopping chez Google seront également concernés.

L’objectif principal de la DSA est de mieux protéger les internautes, en particulier les mineurs, contre les contenus préjudiciables, la publicité trompeuse et les violations de la vie privée. Les entreprises qui publient du contenu pornographique impliquant des enfants, des contenus subversifs et haineux, ou des fausses informations seront plus facilement ciblées et sanctionnées grâce à une surveillance renforcée. Les dix-neuf grandes entreprises devront également offrir plus de choix et de meilleures informations à leurs utilisateurs.

La DSA représente une évolution importante dans le paysage de la réglementation en ligne. Elle vise à répondre aux nombreux défis posés par la prolifération de contenus préjudiciables ainsi que les pratiques publicitaires et de protection de la vie privée souvent abusives des entreprises du numérique. La DSA va permettre de mieux protéger les droits et la sécurité des internautes en leur offrant des moyens plus efficaces pour signaler et faire retirer les contenus illicites et nuisibles.

Gare à l’amende !

Les plates-formes qui ne respectent pas cette réglementation pourront se voir infliger des amendes allant jusqu’à 6 % de leur chiffre d’affaires mondial, selon les propos de Thierry Breton, eurocommissaire au Marché intérieur. Cette menace vise à inciter les entreprises à se conformer aux règles et à assumer leur responsabilité sociale.

Cependant, l’application de la DSA représentera un défi pour les entreprises du numérique, qui devront s’adapter aux nouvelles règles et aux nouvelles exigences. Pour cela, elles devront engager des moyens importants pour renforcer leurs capacités de surveillance, de signalement et de retrait de contenus illicites, ainsi que pour offrir à leurs utilisateurs des moyens de contrôle plus importants sur leurs données personnelles et leurs choix publicitaires.

En fin de compte, la réglementation DSA est un effort pour mieux protéger les utilisateurs en ligne et pour rendre les grandes plateformes en ligne plus responsables de leurs actions. Bien que cela puisse entraîner une certaine restriction de la liberté d’expression en ligne, il est important que les autorités cherchent à garantir que les entreprises respectent les lois et les normes éthiques en matière de protection des utilisateurs. La réglementation DSA pourrait donc marquer un tournant important dans la réglementation de l’espace en ligne, en offrant une meilleure protection aux utilisateurs et en augmentant la responsabilité des entreprises.

DMA et DSA

En juillet 2022, le Parlement européen a approuvé à une large majorité la nouvelle législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA), visant à renforcer le contrôle sur les grandes entreprises technologiques. Les entreprises qui ne respectent pas ces règles pourraient se voir imposer des amendes pouvant atteindre 10% de leur chiffre d’affaires annuel mondial pour une violation de la DMA et 6% pour une violation de la DSA.

La législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA) visent à renforcer le contrôle sur les grandes entreprises technologiques. La DMA donne à la commissaire européenne plus de pouvoir pour intervenir en cas d’abus commis par de grandes entreprises comme Google, Meta, Amazon ou Apple, afin d’empêcher ces dernières de favoriser leurs propres applications et services sur leurs plateformes. La DSA oblige les entreprises à davantage de transparence et de responsabilité pour la sécurité en ligne et la suppression des contenus illégaux. Les entreprises qui dérogent à ces règles se verront imposer des amendes pouvant atteindre 10 % de leur chiffre d’affaires annuel mondial pour une violation de la DMA, et 6 % pour une violation de la DSA.

La DSA régule ce qui peut être publié sur internet et vise notamment à lutter contre la désinformation. Elle interdit également les publicités ciblant les enfants ainsi que celles basées sur des données sensibles telles que la religion, l’origine ethnique ou les opinions politiques.

En outre, cette directive interdit les « dark patterns », qui sont des stratégies trompeuses utilisées par les entreprises pour inciter les clients à prendre une décision spécifique. Par exemple, Amazon avait utilisé un « dark pattern » pour rendre la résiliation d’un abonnement Amazon Prime plus difficile pour les utilisateurs.

 

Cybersécurité, Mise à jour, Securite informatique

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

Cybersécurité, Entreprise

Les équipes de sécurité mettent en moyenne 145 heures jours pour résoudre une alerte cybersécurité

Selon le nouveau Cloud Threat Report, les équipes de sécurité mettent en moyenne 145 heures, soit environ six jours, pour résoudre une alerte de cybersécurité.

Les chercheurs du groupe Unit 42 ont analysé plus de 210 000 comptes cloud de 1 300 organisations dans le monde pour parvenir à cette conclusion. À mesure que les organisations adoptent le cloud, elles sont confrontées à des risques de sécurité croissants, car toute configuration erronée peut être exploitée par des cybercriminels. Dans son rapport, Palo Alto Networks met en garde contre les dangers de l’authentification insuffisante, des correctifs inadéquats et des logiciels open source malveillants.

Les chercheurs ont également constaté que 76 % des organisations n’utilisent pas d’authentification multi-facteur pour les utilisateurs ayant des droits de contrôle et que 58 % n’ont pas d’authentification multi-facteur pour les gestionnaires d’accès administrateur. Unit 42 a également observé que 63 % du code de base en production présentent des failles critiques non corrigées, tandis que seulement 5 % des règles de sécurité sont responsables de 80 % des alertes dans la plupart des environnements cloud.

Palo Alto Networks conseille donc aux organisations de planifier des sauvegardes et de les stocker dans des emplacements isolés, ainsi que d’élaborer des plans stratégiques en cas d’incident. Les chercheurs prévoient également un glissement de la sécurité des terminaux vers des plates-formes protégeant directement les applications dans le cloud, connues sous le nom de Cloud-Native Application Protection Platforms (CNAPP). Selon le cabinet-conseil Gartner, la demande de solutions CNAPP a augmenté de 70 % en 2021-2022.

CNAPP, Kesako ?

Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité des applications dans le cloud. Les CNAPP sont conçues pour protéger les applications qui fonctionnent nativement dans des environnements de cloud computing, tels que les conteneurs et les microservices. Les plates-formes CNAPP sont également adaptées aux environnements de développement DevOps, où les applications sont fréquemment mises à jour et déployées rapidement. Les CNAPP fournissent des fonctionnalités telles que la gestion des identités et des accès, la détection et la réponse aux menaces, la conformité et la gouvernance, ainsi que la surveillance et la gestion des risques. L’utilisation de CNAPP est de plus en plus courante car elle permet de mieux sécuriser les applications dans le cloud, qui est devenu une cible de choix pour les cyberattaques en raison de l’augmentation de la migration des applications des entreprises vers le cloud.

cyberattaque, Cybersécurité

Une nouvelle vague de diffusion du malware Qbot cible les entreprises avec des PDF malveillants

Début avril, découverte d’une nouvelle diffusion massive des logiciels malveillants Qbot. Le pirate cible les entreprises via leurs employés via des PDF Piégés.

Des attaquants malveillants utilisent une méthode inédite pour diffuser Qbot, un cheval de Troie bancaire notoire qui s’attaque aux entreprises en leur volant des données sensibles telles que des mots de passe et des correspondances professionnelles. Les attaquants ont lancé une campagne de spams qui utilise des fichiers PDF piégés comme pièces jointes pour infiltrer les systèmes informatiques de l’entreprise. Des experts en cybersécurité ont détecté plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF dans plusieurs pays depuis le début d’avril.

Les attaquants utilisent des techniques d’ingénierie sociale avancées pour intercepter des échanges professionnels existants et y insérer des fichiers PDF malveillants. Les destinataires des courriels sont incités à ouvrir ces fichiers pour des raisons plausibles, telles que la consultation de la documentation associée ou le calcul des coûts d’un contrat. Une stratégie classique mais qui semble toujours porter ses fruits.

PDF piégé

Le contenu du fichier PDF partagé est une image qui imite une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant compromis.

Qbot permet aux pirates de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les experts recommandent aux entreprises d’être vigilantes et de vérifier attentivement les signaux d’alerte tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes suspectes et les erreurs grammaticales.

Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Cette interception permet aux pirates d’écrire des courriels aux contenus plausibles, car existant.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril. Les courriers sont écrits en anglais, en allemand, en italien et en français.

Entreprise, Linkedin

Linkedin lance son vérificateur d’entreprise

Microsoft a annoncé le lancement d’une nouvelle méthode de vérification pour LinkedIn. Dorénavant, les employés pourront faire confirmer leur appartenance à la société qu’ils affichent.

« Nous sommes ravis d’annoncer que des millions de membres de LinkedIn pourront vérifier leur lieu de travail à l’aide d’un identifiant Microsoft Entra Verified ID. En recherchant simplement une vérification, les membres et les organisations peuvent être plus sûrs que les personnes avec lesquelles ils collaborent sont authentiques et que les connections professionnelles sur leurs profils sont exactes. » indique Microsoft, propriétaire de Linkedin, le réseau social pour professionnel.

Ce service, bien venu pour la sécurité des communications entre membres, pourra permettre d’éviter de finir dans les mains d’usurpateurs et autres malveillants. Pour le moment, le service ne fonctionnera qu’aux USA.

Comment ça marche ?

En quelques minutes seulement, les organisations peuvent utiliser Verified ID pour créer des identifiants numériques personnalisés pour leurs employés qui reflètent leur marque et leurs besoins professionnels. Grâce à cette solution, les membres de LinkedIn peuvent vérifier leur lieu de travail sur leur profil et obtenir leur identifiant numérique d’employé en quelques clics sur leur téléphone. Ils peuvent ensuite choisir de le partager sur LinkedIn après avoir envoyé une preuve de leur lieu de travail, qui sera vérifiée et affichée sur leur profil.

Le système de Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée et fonctionne selon un modèle de « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager sur des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Cependant, il est important de noter que LinkedIn est également utilisé comme vecteur d’hameçonnage capable d’attirer plus facilement qu’avec des courriels d’hameçonnage traditionnels. La plateforme a été utilisée à mauvais escient par plusieurs acteurs malveillants de premier plan dans leurs campagnes de phishing et de cyberespionnage, notamment par le groupe nord-coréen Lazarus. L’ajout d’une photo, d’un parcours et de quelques connexions partagées peut très facilement être utilisé pour manipuler une cible. Jusqu’à présent, il n’existait pas d’équivalent numérique à la carte d’identité physique, ce qui a malheureusement fait le jeu des cybercriminels.

La vérification des éléments d’identité et d’emploi ne peut à elle seule stopper complètement les attaquants qui tentent de créer des identités fictives et de fausses entreprises pour « vérifier » de faux emplois. Cependant, l’acceptation générale de la vérification des emplois sur LinkedIn rendrait plus difficile pour les acteurs malveillants d’usurper l’identité de comptes légitimes et de construire de fausses personnalités convaincantes. En effet, l’interaction numérique contribue souvent à l’art de la manipulation aux mains d’acteurs sophistiqués. Ce nouvel outil de vérification réduira sans aucun doute la menace actuelle et renforcera la confiance des utilisateurs.

Comme pour tous les nouveaux outils destinés à limiter les escroqueries, les mauvais acteurs tenteront inévitablement de le contourner. Cependant, il est important de souligner que Verified ID représente une avancée significative dans la lutte contre la fraude numérique. Les identités numériques sont une nécessité croissante.

L’année dernière, le Service Veille français ZATAZ avait découvert plusieurs dizaines de millions de comptes Linkedin diffusé par un pirate informatique aprés l’exfiltration des informations par le malveillant.

Cybersécurité

Faille Microsoft exploitée par des pirates informatiques

En février 2023, a été identifié une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. La faille a été exploitée par les pirates informatiques de Nokoyawa.

Les pirates rançonneurs du groupe Nokoyawa ont exploité, en février, un 0Day que Microsoft vient de corriger. La faille a été attribuée à la CVE-2023-28252. Les cybercriminels ont utilisé un exploit développé pour s’adapter à différentes versions du système d’exploitation Windows, y compris Windows 11, et ont tenté de déployer le ransomware Nokoyawa.

Bien que la plupart des vulnérabilités découvertes exploitées par des groupes APT, cette attaque a été menée par un groupe sophistiqué de cybercriminels qui ont utilisé des exploits similaires mais uniques du Common Log File System.

Le groupe de cybercriminels qui a mené cette attaque se distingue par l’utilisation d’exploits similaires mais uniques du Common Log File System (CLFS) – Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant divers secteurs, tels que le commerce de détail et de gros, l’énergie, l’industrie manufacturière, les soins de santé et le développement de logiciels. Bien que ces vulnérabilités soient souvent exploitées par des groupes APT, ce groupe de cybercriminels a prouvé qu’il était également capable d’utiliser des vulnérabilités zero-day pour mener des attaques par ransomware.

La CVE-2023-28252 a été repérée pour la première fois lors d’une attaque visant à déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n’étaient que des variantes revisitées du ransomware JSWorm, mais dans l’attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.

Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d’identification dans la base de données SAM (Security Account Manager).

Microsoft a corrigé la CVE-2023-28252 lors du Patch Tuesday d’avril 2023. Cette CVE a été la seule faille exploitée par des pirates. Sur les 97 CVE corrigées ce mois-ci, Microsoft a classé près de 90 % des vulnérabilités comme étant moins susceptibles d’être exploitées, tandis que seulement 9,3 % des failles ont été classées comme étant plus susceptibles d’être exploitées.

Le CVE-2023-28252 et le second 0day d’élévation de privilèges du CLFS exploité cette année, et du quatrième au cours des deux dernières années. Il s’agit également du deuxième 0Day CLFS divulgué à Microsoft par des chercheurs de Mandiant et DBAPPSecurity.

D’autres pirates exploitent des 0day, comme ce fût le cas, en février 2023, avec les pirates informatiques du groupe Cl0P. Plusieurs dizaines d’entreprises vont se faire piéger.

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24521

cyberattaque, Cybersécurité

Le Pentagone, la CIA, l’OSINT et les fuites

Le Pentagone est confronté à une fuite de données militaires sensibles, mettant en lumière la rivalité entre le Pentagone, la CIA, les espions et les pirates informatiques pour la collecte d’informations.

Le Pentagone est en train de se préparer à mener des campagnes de propagande sur Internet en utilisant des vidéos deepfake, selon des documents fédéraux de marchés publics. Le Commandement des opérations spéciales des États-Unis, qui est responsable de certaines des opérations militaires les plus secrètes du pays, veut affiner sa propagande offensive en espionnant apparemment son public cible via leurs appareils connectés à Internet. Le document mis à jour sur les marchés publics montre que l’armée américaine veut intensifier ces efforts de tromperie en ligne en utilisant des vidéos deepfake.

Le Pentagone a déjà utilisé des tactiques « d’opérations psychologiques » dans le passé, comme en décembre 2022, lorsqu’un réseau de faux comptes Twitter a été créé pour diffuser de fausses nouvelles douteuses. Bien que l’opération sur Twitter n’ait pas utilisé de deepfake, les entrepreneurs du Pentagone avaient utilisé des avatars créés à l’aide d’apprentissage automatique pour donner aux faux comptes une certaine dose de réalisme.

La fuite de données du Pentagone

Le Pentagone fait face à une fuite de données militaires sensibles qui pose un risque « très grave » pour la sécurité nationale des Etats-Unis. Cette fuite de documents classifiés américains, notamment liés à l’Ukraine et qui semblent authentiques pour la plupart, est considérée comme la plus importante depuis l’affaire Snowden en 2013 indique le New York Times. Les documents contiennent des analyses détaillées sur la guerre en Ukraine, qui donnent une idée de l’étendue de la pénétration américaine des plans militaires russes, mais aussi des interceptions de communications, parfois au détriment de pays alliés des États-Unis comme Israël et la Corée du Sud. Le Service Veille ZATAZ a pu retrouver certains documents sur les forums 4chan (documents ont été détruits depuis, NDR) ou encore sur Telegram.

Un flot régulier de photographies de documents classifiés a été découvert sur des réseaux sociaux, bien que certains aient pu circuler en ligne pendant des semaines avant d’attirer l’attention. Les autorités ont ouvert une enquête pour déterminer l’origine de cette fuite de données.

La CIA, l’OSINT et la concurrence avec le Pentagone

La stratégie nationale de renseignement de 2019 souligne que l’incapacité de suivre rapidement les évolutions technologiques et les normes de l’industrie peut affecter l’avantage concurrentiel des services de renseignements de l’Oncle sam (IC). Cependant, la stratégie ne fournit pas de définition précise de cet avantage concurrentiel. Il s’agit de la capacité de collecter et d’analyser des informations que personne d’autre ne peut obtenir ou traiter. Cette définition est issue de l’Executive Order 12333, qui régit la pratique du renseignement aux États-Unis.

L’EO 12333 énonce l’objectif principal de l’IC, qui consiste à fournir des informations précises et opportunes au président et au Conseil de sécurité nationale pour fonder les décisions concernant la conduite et le développement de la politique étrangère, de défense et économique, et la protection des intérêts nationaux des États-Unis contre les menaces étrangères à la sécurité. Cette collecte doit être conforme à la Constitution et à la loi applicable, respectueuse des principes sur lesquels les États-Unis ont été fondés et poursuivie d’une manière vigoureuse, innovante et responsable.

L’IC a commencé à s’intéresser à l’Open Source Intelligence (OSINT) pour combler une lacune que personne d’autre ne pouvait. Le Foreign Broadcast Information Service (FBIS), créé en 1941, était le moyen le plus rapide, le moins cher et le plus fiable d’obtenir des informations générales et des renseignements concernant un pays particulier. Cependant, au fil des décennies, la demande croissante de l’ensemble du gouvernement et du milieu universitaire, des scandales et des coupes budgétaires, ainsi qu’une portée de mission sinueuse et gonflante ont compliqué la mission de l’IC.

En 2023, le gouvernement américain a perdu le monopole qu’il avait autrefois sur la collecte et la transmission d’informations diffusées librement, rapidement et à moindre coût. Cependant, lorsqu’il s’agit de comprendre les plans et les intentions de l’adversaire, il n’y a pas d’alternative à l’infiltration humaine ou technique que seul l’IC est équipé et autorisé à effectuer. La directrice du renseignement national (DNI) a admis que les États-Unis avaient obtenu des détails extraordinaires sur les plans secrets du Kremlin pour une guerre qu’ils continuaient de nier avoir l’intention.

Un secret est quelque chose de concret qui peut être dérobé par un espion ou discerné par un capteur technique. Un mystère est une énigme abstraite dont personne ne peut être sûr de la réponse

Par conséquent, lorsque l’IC considère l’OSINT en tant que fonction principale, il doit adopter une approche « d’abord, ne pas nuire » à sa mission la plus unique et exclusive, compte tenu des coûts d’opportunité substantiels en jeu. Les décideurs peuvent aspirer à un IC capable de garder une longueur d’avance sur l’adversaire, tout en étant capable de « battre la presse ». Même s’il ne réussit que périodiquement, il vaut mieux poursuivre vigoureusement le premier que de réussir catastrophiquement le second.

Dans la communauté du renseignement américain, l’utilisation des sources ouvertes est vue différemment, mais le navire amiral concernant le renseignement de l’Oncle Sam est la CIA. Au sein de l’agence se trouve le Bureau de la gestion des données ouvertes, qui mise sur un développement massif de cette direction dans des conditions de réalités technologiques et cognitives changeantes.

Récemment, Randy Nixon, un ancien du service analytique de la CIA, a pris la tête de l’OROD, ce qui s’inscrit dans les préférences de l’équipe Biden – promouvoir la direction analytique du renseignement. De plus, Nixon était auparavant responsable du partenariat avec le secteur privé au sein de l’UCCI de la CIA et a dirigé, par exemple, le programme Digital Hammer.

Le Pentagone ne reste pas non plus immobile dans la lutte pour le leadership dans l’OSINT. L’Agence nationale de renseignement géospatial, qui relève du Pentagone, renforce activement les possibilités de renseignement géospatial et d’OSINT.

Cependant, les possibilités d’OSINT sont évaluées à la Maison Blanche et la CIA considère l’utilisation de l’OSINT en tant qu’outil efficace non seulement de collecte et d’analyse d’informations, mais aussi d’influence, y compris politique, comme prioritaire. La concurrence entre la CIA et le Pentagone dans ce domaine prometteur se poursuit, avec des développements massifs de part et d’autre.

Il est à noter que d’ici juin 2028, le Pentagone aura son propre cloud « souverain », le Joint Warfighter. Ce cloud sera conçu pour fournir un accès à des données non classifiées, secrètes et top secrètes au personnel militaire du monde entier. Il devrait servir de colonne vertébrale aux opérations de guerre modernes du Pentagone, qui s’appuieront fortement sur des avions sans pilote et des satellites de communication spatiale, mais auront toujours besoin d’un moyen de transmettre rapidement les renseignements de ces plates-formes aux troupes au sol. Google, Oracle, Microsoft et Amazon se partagent un contrat de 9 milliards de dollars du Pentagone pour construire son réseau de cloud computing.

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

Cybersécurité, santé

Le Royaume-Uni publie une stratégie pour protéger le National Health Service des cyberattaques

Le gouvernement britannique a publié mercredi sa nouvelle stratégie de cybersécurité pour le National Health Service, visant à rendre le secteur de la santé du pays « considérablement durci aux cyberattaques, au plus tard en 2030 ».

Le gouvernement britannique a publié une stratégie de cybersécurité visant à protéger le National Health Service (NHS) contre les cyberattaques d’ici 2030. Cette stratégie a été élaborée suite aux incidents de WannaCry en 2017 et d’Advanced l’année dernière, qui ont mis en évidence les risques que les attaques peuvent poser sur la fourniture de soins de santé.

Bien que la stratégie indique que le NHS est mieux protégé contre les attaques non ciblées, elle souligne qu’il reste des défis importants nécessitant des améliorations continues de la cybersécurité dans le secteur. Les incidents liés aux rançongiciels constituent désormais la majorité des réunions de gestion de crise du gouvernement britannique « Cobra ».

La stratégie vise à façonner un objectif commun à travers les soins de santé et sociaux contre les risques les plus critiques. Toutefois, le NHS n’étant pas un organisme unique, mais un ensemble décentralisé de plusieurs systèmes de santé publics fournis par des milliers d’organisations de santé et de services sociaux distincts, chaque organisation doit assumer la responsabilité de sa propre cybersécurité. Pour aider les organisations de santé et de protection sociale, le gouvernement a mis en place un centre d’opérations de cybersécurité (CSOC) surveillant les systèmes locaux dans tout le pays pour détecter les premiers signes de cyber-vulnérabilités et inscrivant plus de 1,67 million d’appareils sur Microsoft Defender pour Endpoint.

Cartographier les fournisseurs

En outre, la stratégie prévoit la cartographie des fournisseurs les plus critiques d’ici 2024 et le développement d’un cadre pour soutenir les centres d’opérations de sécurité locaux. Les difficultés auxquelles le gouvernement est confronté dans la protection du NHS découlent de la complexité du secteur, composé de systèmes interdépendants avec des risques et des besoins différents.

La stratégie reconnaît que la cybermenace la plus importante à laquelle le secteur est confronté est le rançongiciel, mais elle met également en garde contre d’autres menaces moins répandues, telles que les acteurs étatiques cherchant à accéder à des informations sensibles, ou des personnes travaillant dans ou à proximité du secteur de la santé et de la protection sociale cherchant à abuser de leur accès privilégié.

Après l’attaque contre le fournisseur de logiciels Advanced l’année dernière, le département de la santé a commencé à analyser la chaîne d’approvisionnement critique, un processus qui comprenait l’essai d’outils d’assurance, l’élaboration d’un plan d’engagement et l’élaboration de critères de criticité. Le NHS développe actuellement un nouveau produit pour cartographier ses fournisseurs les plus critiques d’ici 2024.

Dans une déclaration conjointe publiée parallèlement à la stratégie, le CISO et le directeur exécutif des National Cyber Operations au NHS ont déclaré que chaque organisation de santé et de protection sociale doit assumer la responsabilité de sa propre cybersécurité, avec les équipes de sécurité nationale définissant la direction et fournissant un support central.

Bien que la stratégie soit ambitieuse, il reste encore du travail à faire pour renforcer la cybersécurité dans le secteur de la santé. La publication de cette stratégie est une étape importante dans la protection du NHS contre les cyberattaques, mais cela nécessitera une collaboration continue entre le gouvernement et les organisations de santé et de protection sociale pour renforcer la résilience de l’ensemble du secteur.

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

Cybersécurité, Patch

Patch Tuesday mars 2023

Le Mardi des Correctifs de Microsoft (Patch Tuesday) résout plusieurs vulnérabilités critiques, dont certaines doivent être traitées en priorité et sont activement exploitées, y compris celles liées aux correctifs des vulnérabilités TPM2.0.

Sur les 101 vulnérabilités résolues, 9 sont considérées comme des failles critiques, dont deux zero-day exploitées activement. Le premier 0Day, CVE-2023-23397, est une faille critique dans le serveur Microsoft Exchange. Un attaquant distant authentifié peut l’exploiter en envoyant un simple e-mail se faisant passer pour la victime, permettant ainsi d’accéder à d’autres services utilisant le hachage Net-NTLMv2.

Le second 0Day, CVE-2023-24880, est une vulnérabilité permettant de contourner les fonctions de sécurité. Ces vulnérabilités sont couramment utilisées par les attaquants ou les logiciels malveillants pour esquiver la protection « mark of the web », qui ouvre un document/fichier en mode lecture seule. Un attaquant exploite actuellement cette vulnérabilité pour distribuer des fichiers MSI (Microsoft Installer) malveillants.

En plus de ces vulnérabilités, Microsoft a également résolu trois failles critiques d’exécution de code à distance sans authentification, affectant les protocoles HTTP, ICMP et RPC. Toutes ces vulnérabilités sont classées avec un score CVSSvs de 9,8, indiquant un risque d’exploitation significativement élevé. Par ailleurs, Microsoft a fourni deux correctifs critiques pour les spécifications de la bibliothèque de référence TPM2.0 dans les pilotes tiers. La technologie Trusted Platform Module (TPM) est conçue pour offrir des fonctions matérielles liées à la sécurité et est principalement utilisée pour évaluer l’intégrité du système.

CVE-2023-23397 est une vulnérabilité EoP dans Microsoft Outlook qui a été exploitée dans la nature. Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle.

En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’e-mail malveillant. Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d’un utilisateur et mener une attaque de type relais NTLM afin de s’authentifier à nouveau en tant qu’utilisateur. « Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu’elle a pu être exploitée dans la nature contre des cibles ukrainiennes. Les équipes de recherche de Microsoft ont également été créditées de la découverte de cette faille. » confirme la société Tenable.

CVE-2023-24880 est un contournement de la fonction SmartScreen intégrée à Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis internet. Cette faille a été exploitée dans la nature et divulguée publiquement avant qu’un correctif ne soit disponible.

Un attaquant peut créer un fichier spécialement conçu pour exploiter cette faille, ce qui permet de contourner les fonctions de sécurité MOTW, telles que Microsoft Office Protected View.

Cette faille a été attribuée à des chercheurs de Microsoft (Bill Demirkapi) et du Threat Analysis Group de Google (Benoît Sevens et Vlad Stolyarov).

Mardi des Correctifs

Le Patch Tuesday, également appelé Mardi des Correctifs, est un concept introduit par Microsoft en 2003 pour simplifier et rationaliser le processus de mise à jour des logiciels. Il s’agit d’un calendrier régulier, où Microsoft publie des mises à jour de sécurité pour ses produits le deuxième mardi de chaque mois. L’objectif principal de cette initiative est de fournir un calendrier prévisible et fiable pour les administrateurs système et les utilisateurs, afin qu’ils puissent planifier et appliquer ces mises à jour de manière efficace.

La mission du Patch Tuesday est de protéger les utilisateurs et les organisations contre les vulnérabilités et les menaces de sécurité qui pourraient affecter les logiciels et les systèmes Microsoft. Les mises à jour de sécurité comprennent généralement des correctifs pour les failles de sécurité découvertes, des améliorations de la performance et de la stabilité, ainsi que des mises à jour des fonctionnalités des produits.

En adoptant ce calendrier régulier, Microsoft a réussi à réduire l’impact des mises à jour de sécurité sur les entreprises et les utilisateurs finaux, en facilitant la planification et la gestion des correctifs. Cependant, si une vulnérabilité critique est identifiée et exploitée activement, Microsoft peut publier des correctifs de sécurité hors cycle, appelés « correctifs d’urgence » ou « out-of-band patches », pour protéger les utilisateurs et les systèmes concernés.

Entreprise

5 choses à savoir pour bien choisir son système de vidéo surveillance

Le système de vidéo surveillance est composé de caméras, d’enregistreurs et de moniteurs. Avec les nombreux modèles qui sont disponibles sur le marché, il n’est pas toujours évident de trouver celui qui correspond entièrement à vos besoins. Découvrez dans ce billet cinq choses que vous devez savoir pour bien choisir votre système de vidéo surveillance.

L’usage que vous voulez en faire

L’une des choses qu’il est important de savoir pour bien choisir votre système de vidéo surveillance est l’usage que vous voulez en faire et l’endroit où vous souhaitez l’installer.

En effet, le système de vidéosurveillance intègre une ou plusieurs caméras qui sont installées à des endroits stratégiques pour dissuader les vols, les effractions et les vandalismes. Parmi les endroits possibles où vous pourrez installer votre système, figure le jardin, le portail, les pièces intérieurs renfermant des objets de valeur, etc. D’ailleurs, pour installer ce système à votre domicile, il vous suffira de recourir aux services de cette entreprise de vidéosurveillance à Strasbourg, reconnue pour la qualité de ses prestations.

Les modèles de caméra disponibles sur le marché

Pour bien choisir votre système de vidéo surveillance, vous devez prendre connaissance des différents modèles de caméra disponibles sur le marché. On peut citer par exemple les caméras IP filaires ou sans fil, les caméras avec détection de mouvement et les caméras d’extérieur.

Les caméras filaires présentent un très bon signal qui ne s’interfère pas, ni avec des murs trop épais ni avec des structures en métal. Par contre, les caméras de surveillance sans fil transmettent non seulement l’image et le son via un réseau wifi, mais ils possèdent aussi une portée assez limitée.

Les caméras avec détection de mouvement quant à elles, sauvegardent les images lors de la détection d’un mouvement le jour comme la nuit. La détection peut se faire numériquement soit via infrarouge.

En ce qui concerne les caméras d’extérieur, elles sont très résistantes par rapport aux caméras d’intérieur. Cela est dû aux normes d’étanchéité qui sont spécifiées sur le dispositif notamment IP 65 et IP 66.

Le support d’enregistrement

L’autre critère dont vous devez tenir compte pour bien choisir votre système de vidéo surveillance est le support d’enregistrement. En réalité, les caméras ont la possibilité d’enregistrer les images de différentes façons. Cela peut se faire sur micro-SD, sur disque dur ou sur le Cloud. À vous de choisir le support d’enregistrement qui vous convient le mieux.

La résolution de l’image

La résolution est un critère à ne pas négliger lors du choix de votre système de vidéo surveillance. En réalité, un système de vidéo surveillance optimal doit avoir à priori deux résolutions. La première résolution est pour la visualisation en direct et la seconde est réservée aux enregistrements.

La qualité des images et la taille des caméras

Pour être certain d’avoir un bon système de vidéo surveillance, vous devez vérifier la qualité des images des caméras et le nombre de lignes TV dont elles disposent. En réalité, la bonne qualité est garantie à partir de 500 lignes. Aussi, il serait préférable de miser sur une caméra de petite taille puisqu’elle est discrète.

Banque, Bitcoin, Cybersécurité

Évolution inquiétante des outils pirates

En février 2022, les experts en sécurité de l’information ont détecté l’arrivée du banquier pirate Xenomorph. Armé pour usurper, par superposition, les applications de 56 banques, le malware a rapidement été propagé grâce à des droppers publiés sur Google Play.

Au fil des mois, les pirates ont réécrit le code malveillant, lui donnant une plus grande modularité et flexibilité. La troisième version, découverte par des experts néerlandais, est distribuée via des reconditionnements d’applications Android légitimes créées au moyen du service Zombinder, et est installée dans le système en tant que protection Play Protect.

Les avantages de Xenomorph v.3 sont annoncés sur un site spécialement créé. L’outil est loué, un service MaaS (Malware-as-a-Service, malware as a service).

Les nouvelles fonctions de Xenomorph v.3

Après la mise à jour, l’outil pirate s’est doté d’un nouveau module construit sur le framework ATS, qui nécessite l’accès au service d’accessibilité Android (Accessibility Service).

Les fonctions implémentées dans les scripts permettent d’automatiser le processus de retrait d’argent des comptes des victimes : voler des comptes, vérifier le solde, initialiser des virements bancaires et réussir des transactions frauduleuses (grâce à l’enregistrement du contenu d’applications d’authentification tierces).

Le cheval de Troie dispose également d’un module pour voler les cookies d’Android CookieManager. Il ouvre une fenêtre WebView avec une URL de service légitime et JavaScript activé pour inviter l’utilisateur à saisir ses informations d’identification.

En cas de succès, l’opérateur du logiciel malveillant pourra détourner les cookies de session de la victime et prendre le contrôle de ses comptes.

Le Xenomorph mis à jour est capable d’attaquer les clients de 400 banques – principalement dans les pays européens, la Turquie, les États-Unis, l’Australie et le Canada. Les experts en sécurité recommandent de rester vigilant lors de l’utilisation d’applications bancaires, de garder les systèmes et les applications à jour et de ne pas télécharger d’applications à partir de sources inconnues.

Pendant ce temps

Les cybercriminels à l’origine des attaques du rançongiciel IceFire sont également passés à Linux.

Spécialement à ces fins, les attaquants ont développé un chiffreur approprié, qui a été remarqué par des chercheurs de SentinelLabs.

Selon les experts, lors des nouvelles attaques, les opérateurs IceFire ont déjà réussi à pirater les réseaux de plusieurs organisations de médias et de divertissement. Selon le rapport , la campagne a été lancée à la mi-février 2022. Une fois que les attaquants ont pénétré le réseau de la victime, ils déploient une nouvelle variante du logiciel malveillant qui chiffre les systèmes Linux.

Le groupe Qilin (ransomware) possède une version linux de son outil pirate.

Au lancement, IceFire traite certains fichiers en leur ajoutant l’extension « .ifire ». Fait intéressant, une fois le processus de cryptage terminé, le logiciel malveillant essaie de brouiller les pistes et de supprimer son binaire du système. IceFire ne chiffre pas tous les fichiers, excluant spécifiquement un certain nombre de chemins. Ceci est fait pour que les composants critiques du système ne soient pas affectés.

Les opérateurs IceFire opèrent depuis mars 2022 , cependant, leur activité a souvent été spasmodique. Le ransomware exploite une vulnérabilité de désérialisation dans le logiciel IBM Aspera Faspex (CVE-2022-47986). La tendance des ransomwares Linux s’est accélérée. En 2022 de nombreux groupes se sont penchés sur Linux, comme BlackBasta, Hive (HS), Qilin, Vice Society.

APT, Cybersécurité, Mise à jour

L’activité Emotet a repris après une interruption de trois mois

Des experts ont remarqué que le code malveillant Emotet a repris son activité de spammeurs après une « accalmie » de trois mois.

Emotet, le retour. Après une pause de trois mois, l’outil malveillant refait surface via des vagues de spams dont il a le secret. Jusqu’à présent, les spécialistes de la sécurité de l’information n’ont trouvé aucune charge utile supplémentaire. Il semble que le logiciel malveillant collecte simplement des données pour de futures campagnes de spam.

La reprise de l’activité malveillante a été signalée par les analystes de la sociétés Cofense et du groupe Cryptolaemus. Cette team a été fondée en 2018 pour combattre Emotet.

Les chercheurs ont rappelé que la dernière campagne de spam Emotet avait été observée en novembre 2022. Un spamming de deux semaines.

Cette fois, au lieu d’utiliser des courriels de réponse à d’autres messages, comme lors de la campagne précédente, les pirates utilisent des e-mails qui imitent diverses factures. Des archives ZIP contenant intentionnellement des documents Word « gonflés » de plus de 500 Mo sont jointes à ces courriers électroniques. Les documents sont délibérément remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser pour les antivirus.

En fait, ces documents contiennent de nombreuses macros qui téléchargent le chargeur Emotet en tant que DLL à partir de sites compromis (principalement des blogs WordPress piratés). Après le téléchargement, le logiciel malveillant est enregistré dans un dossier avec un nom aléatoire. Un DLL gonflé pour perturber, une fois encore, les logiciels d’analyse.

Selon VirusTotal, jusqu’à présent, seul un fournisseur de solutions de sécurité sur 64 a détecté le piège !